Hoʻemi i nā pilikia o ka hoʻohana ʻana iā DoH a me DoT
Ka palekana DoH a me DoT
Ke mālama nei ʻoe i kāu kālepa DNS? Hoʻolilo nui nā hui i ka manawa, kālā, a me ka hoʻoikaika ʻana i ka mālama ʻana i kā lākou pūnaewele. Eia nō naʻe, ʻo kahi wahi i ʻike ʻole ʻia ʻo DNS.
ʻO kahi hiʻohiʻona maikaʻi o nā pilikia i lawe ʻia e DNS ma ka ʻaha kūkā Infosecurity.
31% o nā papa ransomware i noiʻi ʻia i hoʻohana i ka DNS no ka hoʻololi kī
Ua hoʻohana ʻo 31% o nā papa ransomware i ka DNS no ka hoʻololi kī.
He koʻikoʻi ka pilikia. Wahi a ka Palo Alto Networks Unit 42 noiʻi lab, ma kahi o 85% o ka malware e hoʻohana ana i ka DNS e hoʻokumu i kahi kauoha a me ka mana hoʻokele, e ʻae ana i nā mea hoʻouka e hoʻokomo maʻalahi i ka malware i kāu pūnaewele a me ka ʻaihue ʻikepili. Mai kona hoʻomaka ʻana, ʻaʻole i hoʻopili ʻia ke kalepa DNS a hiki ke nānā maʻalahi ʻia e nā mīkini palekana NGFW.
Ua puka mai nā protocols hou no DNS no ka hoʻonui ʻana i ka hūnā o nā pili DNS. Kākoʻo ikaika ʻia lākou e nā mea kūʻai pūnaewele alakaʻi a me nā mea kūʻai lako polokalamu ʻē aʻe. E hoʻomaka koke ka ulu ʻana o nā kaʻa DNS i hoʻopili ʻia ma nā ʻoihana hui. ʻAʻole i kālailai ʻia a hoʻoholo ʻia e nā mea hana i hoʻopaʻa ʻia i nā kaʻa DNS i hoʻopili ʻia i kahi pilikia palekana i kahi hui. No ka laʻana, ʻo ia hoʻoweliweli ka cryptolockers e hoʻohana i ka DNS e hoʻololi i nā kī hoʻopunipuni. Ke koi nei nā mea hoʻouka i kahi pānaʻi o kekahi mau miliona kālā e hoʻihoʻi i ka ʻike i kāu ʻikepili. No ka laʻana, ua uku ʻo Garmin i $ 10 miliona.
Ke hoʻonohonoho pono ʻia, hiki i nā NGFW ke hōʻole a pale paha i ka hoʻohana ʻana i ka DNS-over-TLS (DoT) a hiki ke hoʻohana ʻia e hōʻole i ka hoʻohana ʻana i ka DNS-over-HTTPS (DoH), e ʻae ana i nā kālepa DNS āpau ma kāu pūnaewele e nānā ʻia.
He aha ka DNS i hoʻopili ʻia?
He aha ka DNS
Hoʻoholo ka Domain Name System (DNS) i nā inoa kikowaena hiki ke heluhelu ʻia e ke kanaka (no ka laʻana, helu wahi ) i nā helu IP (no ka laʻana, 34.107.151.202). Ke hoʻokomo ka mea hoʻohana i kahi inoa inoa i loko o kahi polokalamu kele pūnaewele, hoʻouna ka polokalamu kele pūnaewele i kahi nīnau DNS i ka kikowaena DNS, e noi ana i ka IP address e pili ana i kēlā inoa inoa. I ka pane ʻana, hoʻihoʻi ka server DNS i ka IP address e hoʻohana ai kēia polokalamu kele pūnaewele.
Hoʻouna ʻia nā nīnau a me nā pane DNS ma waena o ka pūnaewele ma ka kikokikona maʻamau, ʻaʻole i hoʻopili ʻia, e hoʻopōʻino ai i ka mākaʻikaʻi a hoʻololi paha i ka pane a hoʻohuli hou i ka polokalamu kele i nā kikowaena hoʻomāinoino. ʻO ka hoʻopunipuni DNS ka mea paʻakikī i nā noi DNS e nānā a hoʻololi ʻia i ka wā o ka hoʻouna ʻana. ʻO ka hoʻopili ʻana i nā noi a me nā pane DNS e pale iā ʻoe mai ka hoʻouka ʻana o Man-in-the-Middle i ka wā e hana ana i ka hana like me ka protocol plaintext DNS (Domain Name System).
I nā makahiki i hala iho nei, ua hoʻokomo ʻia ʻelua mau protocol encryption DNS:
-
DNS-over-HTTPS (DoH)
-
DNS-over-TLS (DoT)
Hoʻokahi mea maʻamau o kēia mau protocol: hūnā lākou i nā noi DNS mai kekahi interception ... a mai nā kiaʻi palekana o ka hui pū kekahi. Hoʻohana mua nā protocols i ka TLS (Transport Layer Security) e hoʻokumu i kahi pilina i hoʻopili ʻia ma waena o kahi mea kūʻai aku e hana ana i nā nīnau a me kahi kikowaena e hoʻonā i nā nīnau DNS ma luna o kahi awa i hoʻohana ʻole ʻia no ka hoʻokele DNS.
ʻO ka hūnā o nā nīnau DNS kahi mea nui o kēia mau protocols. Eia nō naʻe, hoʻopuka lākou i nā pilikia no nā kiaʻi palekana e pono e nānā i ka neʻe ʻana o ka pūnaewele a ʻike a hoʻopaʻa i nā pilina ʻino. Ma muli o ka ʻokoʻa o nā protocols i kā lākou hoʻokō ʻana, ʻokoʻa nā ʻano loiloi ma waena o DoH a me DoT.
DNS ma luna o HTTPS (DoH)
DNS i loko o HTTPS
Hoʻohana ʻo DoH i ke awa kaulana ʻo 443 no HTTPS, kahi i ʻōlelo ʻia ai e ka RFC ʻo ka manaʻo e "hui i nā kaʻa DoH me nā kaʻa HTTPS ʻē aʻe ma ka pilina like", "e paʻakikī i ka nānā ʻana i ka lele DNS" a no laila e pale aku i nā mana hui. ( ). Hoʻohana ka protocol DoH i ka hoʻopunipuni TLS a me ka syntax noi i hāʻawi ʻia e nā maʻamau HTTPS a me HTTP/2 maʻamau, e hoʻohui ana i nā noi DNS a me nā pane ma luna o nā noi HTTP maʻamau.
Nā pilikia e pili ana iā DoH
Inā ʻaʻole hiki iā ʻoe ke hoʻokaʻawale i nā kaʻa HTTPS maʻamau mai nā noi DoH, a laila hiki i nā noi i loko o kāu hui ke (a) ke kāpae i nā hoʻonohonoho DNS kūloko ma o ka hoʻihoʻi ʻana i nā noi i nā kikowaena ʻaoʻao ʻekolu e pane ana i nā noi DoH, ka mea e kāpae i ka nānā ʻana, ʻo ia hoʻi, luku i ka hiki ke e hoʻomalu i ke kaʻa DNS. Ma ke kūpono, pono ʻoe e hoʻomalu iā DoH me ka hoʻohana ʻana i nā hana decryption HTTPS.
И i ka mana hou loa o kā lākou polokalamu kele pūnaewele, a ke hana nei nā hui ʻelua e hoʻohana iā DoH ma ke ʻano paʻamau no nā noi DNS āpau. i ka hoʻohui ʻana iā DoH i kā lākou ʻōnaehana hana. ʻO ka haʻahaʻa ʻaʻole ʻo nā ʻoihana polokalamu kaulana wale nō, akā ua hoʻomaka nā mea hoʻouka e hoʻohana i ka DoH ma ke ʻano o ke kaʻe ʻana i nā hana pā ahi maʻamau. (No ka laʻana, e nānā i nā ʻatikala aʻe: , и .) I kēlā me kēia hihia, ʻaʻole e ʻike ʻia nā kaʻa DoH maikaʻi a maikaʻi ʻole, e waiho makapō ana ka hui i ka hoʻohana ʻino ʻana iā DoH ma ke ʻano he ala e hoʻomalu ai i ka malware (C2) a ʻaihue i nā ʻikepili koʻikoʻi.
E hōʻoia ana i ka ʻike a me ka hoʻomalu ʻana i nā kaʻa DoH
Ma ke ʻano he hopena maikaʻi loa no ka mana DoH, paipai mākou i ka hoʻonohonoho ʻana i ka NGFW e hoʻokaʻawale i ka hele ʻana o HTTPS a hoʻopaʻa i ka traffic DoH (inoa noi: dns-over-https).
ʻO ka mea mua, e hōʻoia i ka hoʻonohonoho ʻana o NGFW e decrypt HTTPS, e like me .
ʻO ka lua, e hana i kahi lula no ka hoʻohana ʻana i ka noi "dns-over-https" e like me ka mea i hōʻike ʻia ma lalo nei:
Palo Alto Networks NGFW Rula no ka pale ʻana iā DNS-over-HTTPS
Ma ke ʻano he ʻokoʻa manawa (inā ʻaʻole i hoʻokō pono kāu hui i ka decryption HTTPS), hiki ke hoʻonohonoho ʻia ʻo NGFW e hoʻopili i kahi hana "hōʻole" i ka ID noi "dns-over-https", akā e kaupalena ʻia ka hopena i ka pale ʻana i kekahi pono- ʻike ʻia nā kikowaena DoH ma ko lākou inoa kikowaena, no laila pehea me ka ʻole o ka decryption HTTPS, ʻaʻole hiki ke nānā pono ʻia ka holo ʻana o DoH (e nānā a huli no "dns-over-https").
DNS ma luna o TLS (DoT)
DNS i loko o TLS
ʻOiai e hui pū ka protocol DoH me nā kaʻa ʻē aʻe ma ke awa hoʻokahi, ʻaʻole i hoʻohana ʻo DoT i ka hoʻohana ʻana i kahi awa kūikawā i mālama ʻia no ia kumu hoʻokahi, ʻoiai ʻaʻole e ʻae i ka hoʻohana ʻia ʻana o ke awa like ʻole e nā kaʻa DNS kuʻuna unencrypted ( ).
Hoʻohana ka protocol DoT i ka TLS no ka hāʻawi ʻana i ka hoʻopunipuni e hoʻopili ana i nā nīnau protocol DNS maʻamau, me ka hoʻohana ʻana i ke awa kaulana 853 ( ). Ua hoʻolālā ʻia ka protocol DoT i mea e maʻalahi ai nā hui e ālai i ke kaʻa ma ke awa, a i ʻole e ʻae i ke kaʻa akā hiki i ka decryption ma kēlā awa.
Nā pilikia pili me DoT
Ua hoʻokō ʻo Google i ka DoT i kāna mea kūʻai , me ka hoʻonohonoho paʻamau e hoʻohana aunoa iā DoT inā loaʻa. Inā ua loiloi ʻoe i nā pilikia a ua mākaukau ʻoe e hoʻohana i ka DoT ma ka pae hoʻonohonoho, a laila pono ʻoe e ʻae i nā luna hoʻonohonoho pūnaewele e ʻae pololei i ka hele ʻana i waho ma ke awa 853 ma o kā lākou perimeter no kēia protocol hou.
E hōʻoia ana i ka ʻike a me ka hoʻomalu ʻana i nā kaʻa DoT
Ma ke ʻano he hoʻomaʻamaʻa maikaʻi loa no ka mana DoT, paipai mākou i kekahi o nā mea i luna, e pili ana i nā koi o kāu hui:
-
E hoʻonohonoho i ka NGFW e hoʻokaʻawale i nā kaʻa a pau no ke awa huakaʻi 853. Ma ka wehe ʻana i nā kaʻa, e ʻike ʻia ʻo DoT ma ke ʻano he noi DNS kahi e hiki ai iā ʻoe ke hoʻohana i kekahi hana, e like me ka hiki ke kau inoa. e hoʻomalu i nā kāʻei kapu DGA a i ʻole kekahi a me ka anti-spyware.
-
ʻO kahi ʻē aʻe, ʻo ka loaʻa ʻana o ka ʻenekini App-ID e hoʻopaʻa loa i ka hele 'dns-over-tls' ma ke awa 853. Hoʻopaʻa pinepine ʻia kēia ma ka paʻamau, ʻaʻohe hana e koi ʻia (koe ke ʻae ʻoe i ka noi 'dns-over-tls' a i ʻole ke awa. kaʻahele 853).
Source: www.habr.com